MX2013011129A - Sistema de deteccion de anomalias, metodo de deteccion de anomalias y programa para los mismos. - Google Patents
Sistema de deteccion de anomalias, metodo de deteccion de anomalias y programa para los mismos.Info
- Publication number
- MX2013011129A MX2013011129A MX2013011129A MX2013011129A MX2013011129A MX 2013011129 A MX2013011129 A MX 2013011129A MX 2013011129 A MX2013011129 A MX 2013011129A MX 2013011129 A MX2013011129 A MX 2013011129A MX 2013011129 A MX2013011129 A MX 2013011129A
- Authority
- MX
- Mexico
- Prior art keywords
- data
- ics
- anomaly
- send
- security policy
- Prior art date
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 24
- 238000012544 monitoring process Methods 0.000 claims abstract description 30
- 238000001119 image correlation spectroscopy Methods 0.000 claims abstract description 12
- 238000000034 method Methods 0.000 claims description 23
- 230000008859 change Effects 0.000 claims description 16
- 230000004044 response Effects 0.000 claims description 2
- 238000004590 computer program Methods 0.000 claims 2
- 230000005540 biological transmission Effects 0.000 abstract description 3
- 238000010586 diagram Methods 0.000 description 29
- 230000009471 action Effects 0.000 description 11
- 238000007726 management method Methods 0.000 description 8
- 238000012806 monitoring device Methods 0.000 description 7
- 230000005856 abnormality Effects 0.000 description 5
- 238000004458 analytical method Methods 0.000 description 4
- 238000013499 data model Methods 0.000 description 4
- 238000007639 printing Methods 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 230000002159 abnormal effect Effects 0.000 description 3
- 101000840483 Neosartorya fumigata (strain ATCC MYA-4609 / Af293 / CBS 101355 / FGSC A1100) Isocyanide synthase A Proteins 0.000 description 2
- 101000840481 Neosartorya fumigata (strain ATCC MYA-4609 / Af293 / CBS 101355 / FGSC A1100) Isocyanide synthase B Proteins 0.000 description 2
- 230000002547 anomalous effect Effects 0.000 description 2
- 238000004378 air conditioning Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000002950 deficient Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- PWPJGUXAGUPAHP-UHFFFAOYSA-N lufenuron Chemical compound C1=C(Cl)C(OC(F)(F)C(C(F)(F)F)F)=CC(Cl)=C1NC(=O)NC(=O)C1=C(F)C=CC=C1F PWPJGUXAGUPAHP-UHFFFAOYSA-N 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000012860 organic pigment Substances 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 238000005070 sampling Methods 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
- 230000003442 weekly effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3466—Performance evaluation by tracing or monitoring
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B23/00—Testing or monitoring of control systems or parts thereof
- G05B23/02—Electric testing or monitoring
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B23/00—Testing or monitoring of control systems or parts thereof
- G05B23/02—Electric testing or monitoring
- G05B23/0205—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
- G05B23/0259—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the response to fault detection
- G05B23/0262—Confirmation of fault detection, e.g. extra checks to confirm that a failure has indeed occurred
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B11/00—Automatic controllers
- G05B11/01—Automatic controllers electric
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/418—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
- G05B19/4185—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by the network communication
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B23/00—Testing or monitoring of control systems or parts thereof
- G05B23/02—Electric testing or monitoring
- G05B23/0205—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
- G05B23/0259—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the response to fault detection
- G05B23/0267—Fault communication, e.g. human machine interface [HMI]
- G05B23/027—Alarm generation, e.g. communication protocol; Forms of alarm
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/12—Digital output to print unit, e.g. line printer, chain printer
- G06F3/1201—Dedicated interfaces to print systems
- G06F3/1202—Dedicated interfaces to print systems specifically adapted to achieve a particular effect
- G06F3/121—Facilitating exception or error detection and recovery, e.g. fault, media or consumables depleted
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/12—Digital output to print unit, e.g. line printer, chain printer
- G06F3/1201—Dedicated interfaces to print systems
- G06F3/1223—Dedicated interfaces to print systems specifically adapted to use a particular technique
- G06F3/1229—Printer resources management or printer maintenance, e.g. device status, power levels
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/12—Digital output to print unit, e.g. line printer, chain printer
- G06F3/1201—Dedicated interfaces to print systems
- G06F3/1223—Dedicated interfaces to print systems specifically adapted to use a particular technique
- G06F3/1237—Print job management
- G06F3/1273—Print job history, e.g. logging, accounting, tracking
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/12—Digital output to print unit, e.g. line printer, chain printer
- G06F3/1201—Dedicated interfaces to print systems
- G06F3/1278—Dedicated interfaces to print systems specifically adapted to adopt a particular infrastructure
- G06F3/1285—Remote printer device, e.g. being remote from client or server
- G06F3/1288—Remote printer device, e.g. being remote from client or server in client-server-printer device configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N1/00—Scanning, transmission or reproduction of documents or the like, e.g. facsimile transmission; Details thereof
- H04N1/00127—Connection or combination of a still picture apparatus with another apparatus, e.g. for storage, processing or transmission of still picture signals or of information associated with a still picture
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Automation & Control Theory (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Quality & Reliability (AREA)
- Signal Processing (AREA)
- Human Computer Interaction (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Manufacturing & Machinery (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Testing And Monitoring For Control Systems (AREA)
- Maintenance And Management Of Digital Transmission (AREA)
- Test And Diagnosis Of Digital Computers (AREA)
- Automatic Analysis And Handling Materials Therefor (AREA)
- Alarm Systems (AREA)
Abstract
Como un primer aspecto para proporcionar un sistema de detección de anomalía, un método de detección de anomalía y un programa para los mismos, se provee un sistema de detección de anomalía para detectar una anomalía en una red, el sistema incluye: una pluralidad de sistemas de control industrial (ICS) conectados a la red y un analizador integrado para recibir un estatus de operación de cada ICS como datos de monitoreo, que especifican un ISC sospechoso de tener una anomalía y efectuar determinación de anomalía, en donde el sistema incluye, en cada ICS: una unidad receptora para recibir datos de otros ICS; una unidad de envío para enviar datos a los otros ICS y enviar los datos de monitoreo al analizador integrado; una política de seguridad que incluye reglas de registro y generación de datos y un dispositivo de envoltorio para controlar y enviar los datos a los otros ICS, con referencia a la política de seguridad.
Description
SISTEMA DE DETECCIÓN DE ANOMALÍAS, MÉTODO DE DETECCIÓN DE ANOMALÍAS Y PROGRAMA PARA LOS MISMOS CAMPO TÉCNICO
La presente invención es. concerniente con técnicas de detección de anomalías y especialmente se refiere a un método, sistema de detección de anomalías y programas para impedir que un sistema reconocido tenga una anomalía afecte a otros sistemas.
ANTECEDENTES DE LA INVENCIÓN
La sociedad moderna es una sociedad computarizada . Como tipos de sistemas que utilizan computadoras hay: un sistema de información usado principalmente en una oficina o los semejantes y un sistema de control industrial (denominado posteriormente en la presente como "ICS") utilizado en una planta de energía, una tubería, una planta química o los semejantes. Cada ICS individual está compuesto de un sistema distinto específico a la industria correspondiente.
La mayoría de los ICS son sistemas que proveen principalmente infraestructuras y así es probable que las fallas o anomalías causen daños humanos y económicos serios. También hay un sistema en el cual una pluralidad de ICS son conectados vía una red e intercambien información entre sí. Una técnica mediante la cual, en el caso en donde datos de un ICS que tiene una anomalía son enviados a otros ICS en tal medio ambiente de operación de una pluralidad de ICS, los ICS receptores son impedidos de ser afectados significativamente es deseable.
Cuando se pone en operación una pluralidad de ICS, la determinación de si un ICS especifico tiene o no una anomalía impone una carga en los recursos de IT y también requiere tiempo de procesamiento, de tal manera que el sistema de ICS mismo no puede efectuar la determinación de anomalía. Para los sistemas de información usuales es posible efectuar constantemente la determinación de anomalías o si hay un sistema sospechoso, aislar el sistema y poner en operación los otros sistemas mientras que el sistema es sospechoso. Esto es sin embargo difícil para ICS que supone que operen continuamente .
Por ejemplo, en el Documento de Patente 1, medios de control de configuración ejecutan un procedimiento para minimizar la pérdida funcional de su propio dispositivo de acuerdo con información de anomalía en el caso en donde un dispositivo monitoreado tiene una anomalía. Sin embargo, la técnica en el Documento de Patente 1 tiene premisas en dos sistemas similares, es decir, un principal y un dependiente, en el caso de una anomalía y no es aplicable a una pluralidad de ICS que son sistemas distintos, diferentes conectados vía una red.
Documentos del arte previo
Documentos de Patente
Documento de Patente 1: Publicación de Patente Japonesa Sin Examinar No. 2000-214919.
BREVE DESCRIPCIÓN DE LA. INVENCIÓN
Problemas a ser resueltos por la invención
La presente invención se ha realizado en vista de los problemas mencionados anteriormente y tiene el objeto de proveer un sistema de detección de anomalía, método y programa para controlar la transferencia de datos entre ICS, detectar un ICS sospechoso de tener una anomalía e impedir que los ICS afecten a otros ICS.
La presente invención también tiene por objeto proveer un sistema de detección de anomalía, método y programa para, mientras se efectúa un proceso mínimo de detectar un ICS sospechoso de tener una anomalía mediante la operación de ICS usual, determinar si el ICS tiene realmente o no una anomalía sin afectar a cada ICS.
Medios para resolver los problemas
Para resolver los problemas de las técnicas convencionales descritas anteriormente, la presente invención provee un sistema de detección de anomalías que tiene los siguientes elementos. Un sistema de detección de anomalía de acuerdo con la presente invención incluye una pluralidad de sistemas de control industrial (ICS) conectados a una red. El sistema incluye un analizador integrado para recibir un estatus de operación de cada ICS como datos de monitoreo, especificar un ICS sospechoso de tener una anomalía y efectuar la determinación de anomalía, en donde el sistema incluye, en cada ICS: una unidad receptora para recibir datos de otro ICS; una unidad de envío para enviar datos a otros ICS y enviar los datos de monitoreo al analizador integrado; reglas de registro y generación de datos que incluyen política de seguridad y un dispositivo de envoltorio (adapter) para controlar y enviar los datos a otros ICS, con referencia a la política de seguridad.
El sistema incluye medios para que el analizador integrado envié una notificación para cambiar al modo pseudonormal, a el dispositivo de envoltorio del ICS específico, en donde el sistema incluye, en el dispositivo de envoltorio: un controlador de datos para controlar los datos enviados a los otros ICS; un registrador de datos para registrar los datos de la unidad de envío como datos de patrón, con referencia a la política de seguridad y un generador de datos para generar el envío de datos de los datos registrados, con referencia a la política de seguridad y en donde el sistema incluye, en respuesta a la recepción de la notificación para cambiar al modo pseudonormal: medios para que el registrador de datos registre los datos de la unidad de envió como datos reales; medios para que el generador de datos generé el envió de datos de los datos de patrón y medios para que el controlador de datos envíe los datos de envío generados al otros ICS.
En la presente, el sistema incluye medios para que el analizador integrado envié una notificación para detener la operación al ICS especificado, en el caso en donde el ICS especificado sea determinado que tiene anomalía.
Además, el sistema incluye medios para que el analizador integrado envíe una notificación para cambiar a un modo normal al ICS especificado, en el caso en donde el ICS especificado se determina que no tiene ninguna anomalía.
Además, el sistema incluye: medios para que el ICS que recibe la notificación cambie al modo normal, para enviar los datos reales registrados en el modo pseudonormal a los otros ICS simultáneamente y medios para que los ICS que reciben la notificación cambien al modo normal, para cancelar o borrar los datos reales después de la consumación del envío simultáneo .
BREVE DESCRIPCIÓN DE LAS FIGURAS
La Figura 1 es un diagrama esquemático de un sistema de acuerdo con una modalidad de la presente invención;
La Figura 2 es un diagrama de bloques funcional de un ICS típico convencional;
La Figura 3 es un diagrama de bloques funcional de un ICS de acuerdo con la presente invención;
La Figura 4 es un diagrama para describir la operación de ICS en tiempo normal;
La Figura 5 es un diagrama que muestra un ejemplo de datos enviados de un ICS a otros ICS;
La Figura 6 es un diagrama que muestra otro ejemplo de datos enviados de un ICS a otros ICS;
La Figura 7 es un diagrama que muestra un ejemplo de una política de seguridad 380 en el caso en donde se sospecha una anomalía, que es referida por un ICS;
La Figura 8 es un diagrama que muestra el registro de contenidos de los datos de patrón 360;
La Figura 9 es un diagrama que muestra una situación en donde un ICS 140 está efectuando la operación que parece anómala;
La Figura 10 es un diagrama de flujo de operación de cada ICS;
La Figura 11 es un diagrama de flujo de operación de un analizador integrado 170;
La Figura 12 es un diagrama de máquinas físicas de un ICS típico convencional;
La Figura 13 es un diagrama que muestra un método mediante el cual el analizador integrado 170 detecta una anomalía de un ICS;
La Figura 14 es un diagrama que muestra la operación de un ICS sospechoso de tener una anomalía;
La Figura 15 es un diagrama que muestra la operación en el caso en donde se determina que un ICS no tiene anomalía;
La Figura 16 es un diagrama de flujo de operación de un ICS que recibe un modo pseudonormal del analizador integrado 170;
La Figura 17 es un diagrama de flujo de operación de un ICS que reciba una notificación de sin anomalía del analizador integrado 170 y
La Figura 18 es un diagrama de flujo de operación de cada ICS que recibe una notificación de determinación de anomalía del analizador integrado 170.
Modo para llevar a cabo la invención
Lo siguiente describe la presente invención por medio de una modalidad, aunque la presente invención no está limitada a esta modalidad.
La Figura 1 es un diagrama esquemático de un sistema de acuerdo con la modalidad de la presente invención. Los ICS 110 a 160 son sistemas de control industrial cada uno de los cuales opera con distintos elementos físicos y un OS (sistema operativo) distinto. Cada ICS tiene no solamente una red por un protocolo distinto sino también una red de propósito general mediante equipo de propósito general, que es conectado a otros ICS y un analizador integra 170 vía una pared de fuego. Cada ICS envía periódicamente datos de análisis que incluyen un estatus de operación de los ICS al analizador integrado 170 como datos de monitoreo. El analizador integrado 170 analiza los datos de monitoreo y especifica un ICS sospechoso de tener una anomalía y es conectado a una política de seguridad 180 que define una acción en el caso en donde se determine que el ICS tiene una anomalía. La política de seguridad 180 es referida por el analizador integrado 170.
La Figura 12 es un diagrama de máquinas físicas de un ICS típico convencional. Un servidor de manejo 1220 se comunica con la red externa vía una pared de fuego 1210. Un servidor de manejo redundante 1230 es también provisto en el caso en que el servidor de manejo 1220 sea defectuoso. El interior del ICS es dividido aproximadamente en una región de red de propósito general 1270 que incluye una LAN de acuerdo con TCP/IP y Ethernet™ y una región de red dedicada 1280 en la cual el equipo dedicado de acuerdo con distintos elementos físicos y un OS distinto es conectado por un protocolo dedicado .
Una HMI (Interfase de Máquina Humana) 1250 conectada al servidor de manejo 1220 muestra resultados de un dispositivo de monitoreo y analizador para varios datos. Una EWS (Estación de Trabajo de Diseño) 1240 efectúa el manejo de la operación y se comunica con cada PLC 1250 para el control de los varios equipos. La red dedicada 1260 es conectada por el controlador lógico programable (PLC 1250) llamado un secuenciador .
El PLC es una máquina de estado, a diferencia de una computadora de von Neumann. Su programa operativo está escrito en un lenguaje de programación para un circuito de revelador. El programa es un resultado de codificación de un circuito eléctrico y asi no puede ser creado por un programador de computadora usual.
El PLC 1250 es conectado con equipo dedicado 1260 y el equipo dedicado 1260 es conectado con un accionador, un controlador y varios sensores. Ejemplos de estos incluyen instrumentos de medición tal como un sensor de temperatura, un sensor de humedad, un sensor de presión, un sensor de acondicionamiento de aire, un medidor de flujo, un manómetro de agua, un iluminómetro, un vatímetro, un contador de uso de potencia, un contador de impresión y un sensor humano, un interruptor de válvula, un controlador de energía térmica, un compresor, una bomba, un motor y un tambor de impresión.
Los ICS son usados no solamente en sistemas de infraestructura tales como una planta química, una planta de energía térmica, una planta de energía hidráulica, una planta de energía nuclear, un sistema de control de reactor y los semejantes, sino también para control de, como ejemplos más familiares, un elevador, una puerta automática, una caldera, un parque temático, varias atracciones, un sistema de impresión y los semejantes. Un sistema de impresión es descrito como un ejemplo en la modalidad de la presente invención .
La Figura 2 es un diagrama de bloques funcional de un ICS típico convencional. El ICS 110 incluye: un receptor 210 (unidad receptora) para recibir datos de otros ICS; un dispositivo de acceso 290 para adquirir datos de un controlador/sensor 295 para monitorear y analizar datos del receptor 210; un protocolo de abstracción 280 para agregar y abstraer datos de varios accesos de datos 290; un modelo de datos de abstracción 270 para abstraer datos del protocolo de abstracción 280 como un modelo de datos y un monitor y analizador 230 para monitorear y analizar datos del modelo de datos de abstracción 270 y datos del receptor 210 para recibir datos de otros ICS; una hilera de acción 250 para almacenar una acción decidida de acuerdo con el resultado del dispositivo de monitoreo y analizador 230; un depósito de datos 260 para registrar varios datos del dispositivo de monitoreo y analizador 230; datos de reporte 240 para registrar un reporte del dispositivo de monitoreo y analizador 230 y un emisor 220 (unidad de envío) para enviar los datos de los datos de reporte 240. Se debe notar que la estructura mencionada anteriormente es una estructura típica y que cada ICS tiene además una estructura de datos distinta y una interfase única.
La Figura 3 es un diagrama de bloques funcional de un ICS de acuerdo con la presente invención. Estructuras únicas a la presente invención que difieren de aquellas de la Figura 2 son un dispositivo de envoltorio 310, el analizador integrado 170, la política de seguridad 180 y una política de seguridad 280. El dispositivo de envoltorio 310 es una estructura para minimizar, cuando los ICS operan anómalamente, su efecto sobre otros ICS.
El dispositivo de envoltorio 310 incluye: un registrador de datos 340 para registrar datos durante la operación normal (modo normal) del ICS a datos de patrón 360 como datos sin procesar, agregar datos y datos estadísticos y un generador de datos 330 para generar datos normales de los datos de patrón 360 durante la operación (modo pseudonormal) en un estado en donde se sospecha una anomalía. Un controlador de datos 320 decide la operación de estos componentes. El controlador de datos 320 controla datos enviados a otros ICS. El controlador de datos 320 recibe datos del emisor 220 y controla los datos enviados para no aceptar a otros ICS. Este control es efectuado de acuerdo con una notificación del analizador integrado 170.
El emisor 220 se refiere a los datos de reporte 240 que son el resultado del dispositivo de monitoreo y analizador 230 que analizan el estatus de operación del ICS y los datos recibidos de otros ICS y si se sospecha que cualquier otro ISC tiene una anomalía, envía la información al analizador integrado 170 al incluirlo en los datos de monitoreo.
El analizador integrado 170 analiza los datos de monitoreo de los dispositivos de envoltura de la pluralidad de ICS, especifica un ICS que parece tener una anomalía y emite una instrucción para cambiar al modo pseudonormal al controlador de datos 320 del ICS. El modo pseudonormal es un modo en el cual, en el caso en donde haya posibilidad de que el ICS opere anómalamente, el ICS envía datos a otros ICS si los ICS son normales.
Cuando se analizan los datos de monitoreo de los dispositivos de envoltura de la pluralidad de ICS, el analizador integrado efectúa una acción dada con referencia a la política de seguridad 180. Una política de seguridad similar es incluida en cada ICS individual. El ICS 300 de la Figura 3 incluye la política de seguridad 380 en la cual acciones dadas efectuadas por el dispositivo de envoltorio 310 y reglas de registro y generación de datos están incluidos. La política de seguridad 380 es actualizada por el analizador integral 170 de acuerdo con las necesidades.
La Figura 4 es un diagrama para describir la operación del ICS en tiempo normal. En primer lugar, el controlador de datos 320 recibe una salida de datos de evento del emisor 220 y envía directamente los datos de eventos a otros ICS. Al mismo tiempo, el registrador de datos 340 almacena los datos de eventos como los datos de patrón 360. Este almacenamiento es efectuado por cualquiera de los métodos de registro para datos sin procesar, datos agregados, datos de muestreo y los semejantes. Estos métodos de registro son únicos para el ICS y son definidos en la política de seguridad 380.
El controlador de datos 320 selecciona el método de almacenamiento en base al tipo de datos de evento con referencia a la política de seguridad 380 y notifica el método de almacenamiento al registrador de datos 340. La política de seguridad 380 es notificada del analizador integrado 170 y actualizado de acuerdo con la necesidad.
Lo siguiente describe la operación de un ICS sospechoso de tener una anomalía, utilizando la Figura 14. En primer lugar, el analizador integrado 170 recibe datos de monitoreo de la unidad de envío de cada ICS. El analizador integrado 170 notifica al dispositivo de envoltorio 310 de un ICS sospechoso de tener una anomalía en base a los datos de monitoreo, para cambiar al modo pseudonormal.
Aquí, preferiblemente el analizador integrado 170 también información (por ejemplo, número de ICS) acerca del ICS sospechoso de tener una anomalía, a los dispositivos de envoltura de los otros ICS. Esto permite que cada ICS que está recibiendo datos del ICS sospechoso de tener una anomalía, reconozca datos recibidos subsecuentemente como datos pseudonormales . El analizador integrado 170 analiza luego si el ICS tiene o no realmente una anomalía. Los datos de monitoreo incluyen preferiblemente información de sospecha de anomalía con respecto a los otros ICS.
La Figura 9 es un diagrama que muestra una situación en donde el ICS 140 está efectuando la operación que parece anómala. Datos diferentes de los datos en tiempo normal son enviados del ICS 140 a los ICS 110 a 130. Cada uno de los ICS 110 a 130 envía información de detección de anomalía con respecto al ICS 140, al incluirla en los datos de monitoreo enviados al analizador integrado. El analizador integrado 170 analiza los datos de monitoreo de cada ICS y notifica el ISC 140 sospechoso de tener una anomalía para cambiar al modo pseudonormal . El analizador integrado 170 analiza luego si el ICS 140 tiene o no realmente una anomalía y efectúa una acción necesaria, con la referencia a la política de seguridad 180.
Después de recibir la notificación para cambiar al modo pseudonormal, el ICS efectúa cualquiera de las operaciones de acuerdo con la política de seguridad, aunque diferente dependiendo de los elementos del ICS.
(?) Enviar los mismos datos simulados como en el tiempo normal.
(B) Enviar datos sin procesar.
(C) No enviar ningún dato.
El caso (A) es descrito en más detalle posteriormente en la presente utilizando la Figura 14. El registrador de datos 340 del ICS sospechoso de tener una anomalía registra los datos de la unidad de envío como datos reales 350. El generador de datos 330 genera, de acuerdo con la política de seguridad 380, datos simulados de los datos sin procesar, datos agregados y datos estadísticos registrados en los datos de patrón 360 y envía los datos simulados a cada ICS. Esto permite cada ICS opere normalmente sin impedimento.
Cuando el analizador integrado 170 envía al ICS y cada uno de los otros ICS una notificación de que no hay ninguna anomalía como resultado del análisis, el ICS regresa al estado en tiempo normal.
La Figura 15 es un diagrama que muestra la operación en el caso en donde se determina que el ICS no tiene ninguna anomalía (en el caso de recibir una notificación para cambiar al modo normal) . El registrador de datos 340 registra datos sin procesar, datos agregados y datos estadísticos en los datos de patrón 360. El dispositivo de envoltorio notifica a cada destino de envío de datos del reemplazo de datos. El generador de datos 330 lee datos de los datos reales 350 que son los datos sin procesar registrados en el modo pseudonormal y envía los datos leídos simultáneamente.
Después de la consumación del envió, el generador de datos 330 abandona los datos reales 350. Después de recibir la notificación de reemplazo de datos, cada ICS retrocede y reemplaza los datos recibidos en el modo pseudonormal con los datos enviados simultáneamente.
En el caso en donde el analizador integrado 170 determina que hay una anomalía como resultado del análisis, el analizador integrado 170 notifica la determinación de anomalía el dispositivo de envoltorio del ICS y el dispositivo de envoltorio de cada uno de los otros ICS y también efectúa una acción dada, de acuerdo con la política de seguridad 180. El ICS que opera anómalamente, después de ser traído a una parada de emergencia, espera un proceso de reparación humano o de la máquina. Cada ICS que recibe datos en el modo pseudonormal retrocede y cancela los datos requeridos en el modo pseudonormal.
Los actores que provocan una anomalía de un ICS incluyen una falla de un sensor o un contador, manipulación, violación de datos, ataque físico y robo por un usuario malicioso o elementos de programación pirata y así sucesivamente. Una pluralidad de métodos (umbral, regla y situación) están disponibles como métodos para detectarlos.
La Figura 13 es un diagrama que muestra un método mediante el cual el analizador integrado 170 detecta una anomalía de un ICS. Un ejemplo de principalmente utilizar umbrales es mostrado en la Figura 13. En el caso en donde un valor inusual es detectado en comparación con datos estadísticos, se determina que hay una anomalía.
Por ejemplo, el caso en donde el número de páginas impresas por día no es menor de 10,000, el número de atoramientos no es menor de diez, el tiempo para la recuperación no es menor de 2 horas o el uso de energía no es menor de 5 kW es determinado como una anomalía. También hay un método de detección de anomalía por comparación de datos de correlación. Ejemplos de esto incluyen el caso de uso de pigmento orgánico anormal o el caso en donde un usuario está operando en una pluralidad de locaciones.
También hay detección de anomalía de acuerdo son signos de ataque. Ejemplos de esto incluyen un número predeterminado o más de presencia de incidentes de seguridad, el número de cambios de configuración, incluyendo ENCENDIDO/APAGADO y desconexión de red, el número de instalaciones/desinstalaciones de elementos de programación. El analizador integrado 170 recibe los datos de monitoreo de la unidad de envío de cada ICS individual y calcula estadística y de manera agregada si el umbral de la Figura 13 está siendo o no excedido para determinar si hay o no una anomalía. Estos umbrales están incluidos en la política de seguridad 180. Las diferencias entre la política de seguridad 180 y la política de seguridad 380 de cada ICS individual radica en que la información de detección de anomalía estadística mencionada anteriormente es provista y que la política de seguridad 380 incluye una política única al sistema de cada ICS.
La Figura 5 muestra un ejemplo de datos enviados de un
ICS a otros ICS. Por ejemplo, se indica en un evento ID 1001 que un atascamiento de papel es recuperada como un evento de datos sin procesar al tiempo 2010/10/01 09:05:40 en un dispositivo ID MFPOOOl. Con respecto a registros de datos agregados y datos estadísticos, se indica en un ID de registro ID 2001 que una impresión de un solo lado monocromática de 5 páginas es efectuada por el usuario B como un trabajo de impresión en la ID dispositivo MFPOOOl.
La Figura 6 muestra otros datos enviados de un ICS a otros ICS. Comandos de control mostrados en la Figura 6 son también registrados en la hilera de acción 250 por el dispositivo de monitoreo y analizador 230. Mientras tanto, los datos de análisis son registrados en el depósito de datos 260 y también usados para los datos de reporte 240.
La Figura 7 muestra un ejemplo de la política de seguridad 380 en el caso en donde se sospecha de una anomalía, que es referida a cada ICS. Un campo de ICS objetivo muestra un nombre único del ICS, un campo de datos objetivo muestra cuales datos son datos objetivo, un campo de datos necesario muestra cuales datos van a ser enviados, un campo de almacenamiento de datos muestra si se requiere o no almacenamiento de datos y cuales datos van a ser almacenados, un campo de generación de datos muestra un método de generación de datos de generador de datos 330 y un campo de datos simulados muestra una frecuencia de envío de datos realmente enviados.
Esto es, la política de seguridad 380 incluye la definición de qué clase de datos simulados son enviados en el modo pseudonormal y cuales son registrados para enviar los datos simulados, además de la política de seguridad única para el ICS. La política de seguridad 380 que incluye tales reglas de generación y registro de datos son actualizados apropiadamente por el analizador integrado 170.
Por ejemplo, hay las siguientes variaciones de la generación de datos simulados.
(A) Datos no enviados debido a que no tienen significados para un evento o control para el cual un proceso ocurre instantáneamente.
(B) Envío de datos sin procesar en el caso en donde los datos en tiempo normal por sí mismos son necesarios.
(C) Datos filtrados enviados (mínimos, máximos, promedio, últimos, generados aleatoriamente) .
(D) Datos enviados por unidad de tiempo, diariamente, semanalmente, promedio, agregado/estadístico.
De esta manera, los datos registrados/almacenados en tiempo normal son decididos de acuerdo con los elementos de cada ICS, para decidir como el generador de datos 330 genera datos simulados de los datos almacenados.
La Figura 8 muestra el registro de contenido de los datos de patrón 360. Los datos de patrón 360 son registrados en base a la política de seguridad 380 para cada ICS. Como se muestra en la Figura 8, los datos objetivo registrados/almacenados difieren dependiendo del ICS. El número de páginas impresas en total y los valores estadísticas son registrados en el ICS A, mientras que los datos sin procesar de impresión son registrados en el ICS B. Esto es debido a que los trabajos de impresión son designados como los datos de almacenamiento objetivo y la generación de datos correspondientes es diariamente en la política de seguridad del ICS A de la Figura 7. Nótese que los datos de control son generados aleatoriamente al tiempo de generación de datos y así no son registrados.
Por otra parte, los datos sin procesar son designados como los datos de almacenamiento objetivo y la generación de datos correspondiente de tiempo real en la política de seguridad del ICS B de la Figura 7. Así, los datos de patrón son registrados en base a la política de seguridad 380 de acuerdo con los elementos de cada ICS.
La Figura 10 es un diagrama de flujo de operación de cada ICS. En la etapa 1010, el receptor recibe datos de otros ICS. En la etapa 1020, el dispositivo de monitoreo y analizador analiza si los datos de los otros ICS muestran o no una anomalía. En la etapa 1030, en el caso de una anomalía, el ICS envía datos de monitoreo que incluyen no solamente su información de estatus de operación sino también información de los ICS que muestran una anomalía, al analizador integrado 170.
La Figura 11 es un diagrama de flujo de operación del analizador integrado 170. En primer lugar, en la etapa 1110, el analizador integrado 170 recibe datos de monitoreo de cada ICS. Enseguida, en la etapa 1120, el analizador integrado 170 determina si se sospecha o no de una anomalía de los datos de monitoreo. Los datos de monitoreo incluyen un número de ICS sospechosos de tener una anomalía y varios valores de datos. En la determinación de sospecha de anomalía, en el caso en donde la información de un ICS muestra que una anomalía está incluida en los datos de monitoreo de un ICS, el analizador integrado 170 determina que sospecha de una anomalía. En el caso en donde la información de un ICS que muestra una anomalía no está incluida en los datos de monitoreo de un solo ICS y los datos de monitoreo exceden significativamente un umbral, el analizador integrado 170 determina igualmente que sospecha de una anomalía.
En el caso en donde no se sospecha de ninguna anomalía en la etapa 1120, el analizador integrado 170 termina el proceso. En el caso en donde se sospecha de una anomalía en la etapa 1120, en la etapa 1130, el analizador integrado 170 determina un número de ICS de un ICS sospechoso de tener una anomalía. Enseguida, en la etapa 1140, el analizador integrado 170 notifica al controlador de datos del ICS sospechoso de tener una anomalía, para cambiar al modo pseudonormal . Preferiblemente, el analizador integrado 170 también envía la información a los otros ICS. Los otros ICS reconocen datos de los ICS sospechosos como datos enviados en modo pseudonormal .
En la etapa 1150, el analizador integrado 170 analiza si el ICS sospechoso o no de tener una anomalía realmente tiene una anomalía. En la etapa 1160, el analizador integrado 170 verifica si se determina o no que existe una anomalía en el ICS. En el caso en donde se determina que existe la anomalía en el ICS, en la etapa 1180, el analizador integrado 170 ejecuta una acción dada con referencia a la política de seguridad 180. En el caso en donde se determina que no existe la anomalía en el ICS, en la etapa 1170, el analizador integrado 170 notifica al ICS sospechoso de tener una anomalía que cambia al modo normal y termina el proceso. Preferiblemente, el analizador integrado 170 también envía la notificación de no anomalía a los otros ICS.
La Figura 16 es un diagrama de flujo de operación de un ICS que recibe el modo pseudonormal. En primer lugar, en la etapa 1610, el ICS recibe la notificación para cambiar al modo pseudonormal . Enseguida, en la etapa 1620, el registrador de datos 340 registra los datos reales 350. Además, en la etapa 1630, el generador de datos 330 genera datos simulados de los datos de patrón 360. En la etapa 1640, el controlador de datos 320 envía los datos simulados generados .
La Figura 17 es un diagrama de flujo de operación de un ICS que recibe la notificación para cambiar al modo normal del analizador integrado 170. En primer lugar, en la etapa 1710, el ICS recibe la notificación de cambio a modo normal del analizador integrado 170. Enseguida, en la etapa 1720, el dispositivo de envoltorio envía la notificación de reemplazo de datos a cada destino de envío de datos. En la etapa 1730, el generador de datos 330 lee datos de los datos reales 350 que son los datos sin procesar registrados en el modo pseudonormal. En la etapa 1740, el controlador de datos 320 envía los datos simultáneamente. Finalmente, en la etapa 1750, los datos reales 350 son borrados.
Preferiblemente, el controlador de datos 320 notifica a cada ICS de destino de envío que los datos reales van a ser enviados simultáneamente. Enseguida, en la etapa 1740, el controlador de datos 320 envía los datos simulados a cada ICS de destino de envío simultáneamente. Cada ICS de destino de envío reemplaza (retrocede y reemplaza) los datos recibidos en el modo pseudonormal con los datos reales enviados simultáneamente. En la etapa 1750, los datos reales 350 son abandonados .
El ICS anómalo que recibe la notificación de determinación de anomalía del analizador integrado 170 entra a un estado de parada de operación. La Figura 18 es un diagrama de flujo de operación de cada uno de los otros ICS que reciben la notificación de determinación de anomalía del analizador integrado 170. En primer lugar, en la etapa 1810, el ICS recibe la notificación de determinación de anomalía. Enseguida, en la etapa 1820, el ICS retrocede y cancela los datos recibidos en el modo pseudonormal del ICS anómalo.
Como se describe anteriormente, de acuerdo con la modalidad de la presente invención, es posible proveer un sistema de detección de anomalía, un dispositivo de detección de anomalía, un método de detección de anomalía, un programa y un medio de registro para detectar eficientemente un ICS sospechoso de tener una anomalía en un sistema y provocar que una acción dada sea ejecutada para no afectar a otros ICS.
El EWS de computadora y HMI en la región de red de propósito general en el ICS y el analizador integrado de acuerdo con la modalidad en la presente invención pueden tener la misma estructura como una computadora usada en un sistema de información como una estructura de elementos de programación, esto es, puede ser implementado por una computadora típica que incluye un CPU, una memoria, un dispositivo de almacenamiento externo, una línea de distribución principal y una interfase de comunicación.
Además, un dispositivo de detección de anomalía es provisto al cargar un programa ejecutable por computadora a un dispositivo de computadora para realizar cada unidad funcional. Tal programa puede ser realizado por un programa ejecutable por computadora escrito en un lenguaje de programación tal como FORTRAN, COBOL, PL/I, C, C++, Java®, Perl, Ruby o los semejantes y almacenado en un medio de grabación que se puede leer por dispositivo y distribuido.
Aunque la presente invención ha sido descrita por medio de la modalidad de ejemplos mostrados en las figuras, la presente invención no está limitada a la modalidad mostrada en las figuras. Cualesquier modificaciones y modos concebibles por una persona experimentada en el arte están incluidas en el alcance de la presente invención en tanto que se obtengan las ventajas operacionales de la presente invención.
Descripción de números de referencia
110 a 160, 300 ICS
100 sistema de detección de anomalía
102 red
110 servidor de manejo
170 analizador integrado
180 política de seguridad
210 receptor (unidad receptora)
220 emisor (unidad de envío)
230 analizador
240 datos de reporte
250 hilera de acción
260 depósito de datos
270 abstracción del modelo de datos 280 abstracción de protocolo
290 acceso del dispositivo
295 sensor
310 dispositivo de envoltorio
320 controlador de datos
330 generador de datos
340 registrador de datos
350 datos reales
350 datos reales enviados
360 datos de patrón
380 política de seguridad
1210 pared de fuego
1220 servidor de manejo
1230 servidor de manejo redundante
1250 PLC
1270 región de red de propósito general
1280 región de red dedicada
Claims (9)
1. Un sistema de detección de anomalías para detectar « una anomalía en una red, el sistema está caracterizado porque comprende : una pluralidad de sistemas de control industrial (ICS) conectados a la red y un analizador integrado para recibir un estatus de operación de cada ICS como datos de monitoreo, que especifican un ICS sospechoso de tener una anomalía y efectuar la determinación de anomalía, en donde el sistema comprende, en cada ICS: una unidad receptora para recibir datos de otras ICS; una unidad de envío para enviar datos a los otros ICS y enviar los datos de monitoreo al analizador integrado; una política de seguridad que incluye reglas de registro y generación de datos y un dispositivo de envoltorio para controlar y enviar los datos a los otros ICS, con referencia a la política de seguridad.
2. El sistema de acuerdo con la reivindicación 1, caracterizado porque comprende medios para que el analizador integrado envíe una notificación para cambiar a un modo pseudonormal al dispositivo de envoltorio del ICS especificado, en donde el sistema comprende, en el dispositivo de envoltorio : un controlador de datos para controlar los datos enviados a los otros ICS; un registrador de datos para registrar los datos de la unidad de envío como datos de patrón, con referencia a la política de seguridad y un generador de datos para generar datos de envío de los datos registrados, con referencia a la política de seguridad y en donde el sistema comprende, en respuesta a la recepción de la notificación para cambiar al modo pseudonormal : medios para que el registrador de datos registre los datos de la unidad de envío como datos reales; medios para que el generador de datos genere los datos de envío de los datos de patrón y medios para que el controlador de datos envíe los datos de envío generados a los otros ICS.
3. El sistema de acuerdo con la reivindicación 2, caracterizado porque comprende medios para que el analizador integrado envíe una notificación para detener la operación al ICS especificado en el caso en donde se determine que el ICS especificado tiene una anomalía.
4. El sistema de acuerdo con la reivindicación 2, caracterizado porque comprende medios para que el analizador integrado envíe una notificación para cambiar al modo normal al ICS especificado en el caso en donde se determine que el ISC especificado no tiene ninguna anomalía.
5. El sistema de acuerdo con la reivindicación 4, caracterizado porque comprende: medios para que el ICS que recibe la notificación cambie al modo normal, para enviar los datos reales registrados en el modo pseudonormal a los otros ICS simultáneamente y medios para que el ICS que recibe la notificación cambie al modo normal, para borrar los datos reales después de consumar el envío simultáneo.
6. El sistema de acuerdo con la reivindicación 5, caracterizado porque comprende medios para que los otros ICS reemplacen los datos enviados del ICS especificado en el modo pseudonormal con los datos reales enviados simultáneamente.
7. Un método para detectar una anomalía en un sistema de computadora conectado vía una red, el método está caracterizado porque comprende: una pluralidad de sistemas de control industrial (ICS) conectados a la red y un analizador integrado para recibir un estatus de operación de cada ICS como datos de monitoreo, que especifican un ICS sospechoso de tener una anomalía y efectuar determinación de anomalía, en donde el método comprende, en cada ICS: una etapa de recibir datos de otros ICS; una etapa de enviar datos a los otros ICS y enviar los datos de monitoreo al analizador integrado; una política de seguridad que incluye reglas de registro y generación de datos y una etapa de controlar y enviar los datos a los otros ICS, con referencia a la política de seguridad.
8. Un programa de computadora para detectar una anomalía en una pluralidad de sistemas de control industrial (ICS) conectados a una red, el programa está caracterizado porque comprende: un analizador integrado para recibir un estatus de operación de cada ICS como datos de monitoreo, que especifican un ICS sospechoso de tener una anomalía y efectuar la determinación de anomalía y una política de seguridad provista en cada ICS y que incluye reglas de registro y generación de datos, el programa provoca que una computadora de cada ICS ejecute: una función de recibir datos de otros ICS; una función de enviar datos a los otros ICS y enviar los datos de monitoreo al analizador integrado y una función de controlar y enviar los datos a los otros ICS, con referencia a la política de seguridad.
9. Un medio de grabación que se puede leer por computadora caracterizado porque almacena el programa de computadora de acuerdo con la reivindicación 8.
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2011070278 | 2011-03-28 | ||
| PCT/JP2012/051668 WO2012132527A1 (ja) | 2011-03-28 | 2012-01-26 | 異常検知システム、異常検知方法、およびそのプログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| MX2013011129A true MX2013011129A (es) | 2013-10-30 |
Family
ID=46930294
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| MX2013011129A MX2013011129A (es) | 2011-03-28 | 2012-01-26 | Sistema de deteccion de anomalias, metodo de deteccion de anomalias y programa para los mismos. |
Country Status (8)
| Country | Link |
|---|---|
| US (2) | US9529690B2 (es) |
| JP (1) | JP5480447B2 (es) |
| KR (1) | KR20130124357A (es) |
| CN (1) | CN103443727B (es) |
| DE (1) | DE112012000772B4 (es) |
| GB (1) | GB2505340A (es) |
| MX (1) | MX2013011129A (es) |
| WO (1) | WO2012132527A1 (es) |
Families Citing this family (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7933890B2 (en) * | 2006-03-31 | 2011-04-26 | Google Inc. | Propagating useful information among related web pages, such as web pages of a website |
| US8458172B2 (en) * | 2009-12-24 | 2013-06-04 | At&T Intellectual Property I, L.P. | Method and apparatus for automated end to end content tracking in peer to peer environments |
| MX2013011129A (es) | 2011-03-28 | 2013-10-30 | Ibm | Sistema de deteccion de anomalias, metodo de deteccion de anomalias y programa para los mismos. |
| JP5571847B2 (ja) * | 2011-05-13 | 2014-08-13 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 複数の制御システムの異常を検知する異常検知システム |
| US9171158B2 (en) | 2011-12-12 | 2015-10-27 | International Business Machines Corporation | Dynamic anomaly, association and clustering detection |
| US9141623B2 (en) * | 2012-08-03 | 2015-09-22 | International Business Machines Corporation | System for on-line archiving of content in an object store |
| US9165006B2 (en) | 2012-10-25 | 2015-10-20 | Blackberry Limited | Method and system for managing data storage and access on a client device |
| US8943110B2 (en) * | 2012-10-25 | 2015-01-27 | Blackberry Limited | Method and system for managing data storage and access on a client device |
| WO2014076731A1 (en) * | 2012-11-13 | 2014-05-22 | Hitachi, Ltd. | Storage system, storage system control method, and storage control device |
| WO2015001594A1 (ja) * | 2013-07-01 | 2015-01-08 | 株式会社日立製作所 | 制御システム、制御方法及びコントローラ |
| KR101591193B1 (ko) * | 2014-09-17 | 2016-02-02 | 엘에스산전 주식회사 | Plc 로그 데이터를 이용한 이상 발생 예측 시스템 |
| WO2016055939A1 (en) * | 2014-10-06 | 2016-04-14 | Brightsource Ics2 Ltd. | Systems and methods for enhancing control system security by detecting anomalies in descriptive characteristics of data |
| JP6759572B2 (ja) | 2015-12-15 | 2020-09-23 | 横河電機株式会社 | 統合生産システム |
| JP6693114B2 (ja) * | 2015-12-15 | 2020-05-13 | 横河電機株式会社 | 制御装置及び統合生産システム |
| US10152596B2 (en) * | 2016-01-19 | 2018-12-11 | International Business Machines Corporation | Detecting anomalous events through runtime verification of software execution using a behavioral model |
| WO2017139709A1 (en) * | 2016-02-12 | 2017-08-17 | Shape Security, Inc. | Reverse proxy computer: deploying countermeasures in response to detecting an autonomous browser executing on a client computer |
| US10432650B2 (en) * | 2016-03-31 | 2019-10-01 | Stuart Staniford | System and method to protect a webserver against application exploits and attacks |
| DE102016106531A1 (de) * | 2016-04-08 | 2017-10-12 | Eaton Electrical Ip Gmbh & Co. Kg | Busteilnehmer und Verfahren zum Betreiben eines Busteilnehmers |
| US11005863B2 (en) * | 2016-06-10 | 2021-05-11 | General Electric Company | Threat detection and localization for monitoring nodes of an industrial asset control system |
| WO2018136088A1 (en) * | 2017-01-20 | 2018-07-26 | Hitachi, Ltd. | OTxIT NETWORK INSPECTION SYSTEM USING ANOMALY DETECTION BASED ON CLUSTER ANALYSIS |
| JP6862615B2 (ja) * | 2018-11-16 | 2021-04-21 | 三菱電機株式会社 | 攻撃検知装置、攻撃検知方法、および攻撃検知プログラム |
| EP3984172B1 (en) * | 2019-06-13 | 2024-03-06 | Tata Consultancy Services Limited | Method and system for industrial anomaly detection |
| KR102191169B1 (ko) * | 2019-11-26 | 2020-12-16 | 주식회사 오비고 | 이종 dcu의 출력 값을 사용하는 ads를 통해 자율 주행에서 발생할 수 있는 dcu들의 오판 상황을 방지하는 방법 및 이를 이용한 장치 |
| CN111935189B (zh) * | 2020-10-12 | 2021-02-05 | 中国航空油料集团有限公司 | 工控终端策略控制系统及工控终端策略控制方法 |
| US20240078440A1 (en) | 2022-08-24 | 2024-03-07 | AO Kaspersky Lab | Method for identifying patterns and anomalies in the flow of events from a cyber-physical system |
Family Cites Families (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7127328B2 (en) * | 1994-12-30 | 2006-10-24 | Power Measurement Ltd. | System and method for federated security in an energy management system |
| JPH10313537A (ja) | 1997-05-07 | 1998-11-24 | Toshiba Corp | 水力発電所の監視制御装置 |
| JPH1196031A (ja) | 1997-09-24 | 1999-04-09 | Toshiba Tec Corp | 情報処理システム |
| JPH11175103A (ja) | 1997-12-11 | 1999-07-02 | Shimadzu Corp | 制御演算装置 |
| JP2000214919A (ja) | 1999-01-22 | 2000-08-04 | Toshiba Corp | 分散型プラント監視システム及びそのシステムの処理プログラムを記録する記録媒体 |
| US6654648B2 (en) * | 2000-04-03 | 2003-11-25 | Toyota Jidosha Kabushiki Kaisha | Technique of monitoring abnormality in plurality of CPUs or controllers |
| JP4052983B2 (ja) | 2002-06-28 | 2008-02-27 | 沖電気工業株式会社 | 警戒システム及び広域ネットワーク防護システム |
| JP2004054706A (ja) | 2002-07-22 | 2004-02-19 | Sofutekku:Kk | セキュリティリスク管理システム、そのプログラムおよび記録媒体 |
| JP2004246438A (ja) | 2003-02-12 | 2004-09-02 | Mitsubishi Electric Corp | 時系列データの収集システム |
| US7624174B2 (en) | 2003-05-22 | 2009-11-24 | Microsoft Corporation | Self-learning method and system for detecting abnormalities |
| JP2005227982A (ja) | 2004-02-12 | 2005-08-25 | Nippon Telegr & Teleph Corp <Ntt> | セキュリティ監視機能を備えたネットワークシステム、ログデータ解析端末及び情報端末 |
| WO2006022161A1 (ja) | 2004-08-25 | 2006-03-02 | Nec Corporation | 情報通信装置及びプログラム実行環境制御方法 |
| JP4482816B2 (ja) * | 2005-09-27 | 2010-06-16 | 日本電気株式会社 | ポリシ処理装置、方法、及び、プログラム |
| JP3974150B2 (ja) | 2006-01-19 | 2007-09-12 | 富士通株式会社 | 資産情報の一元管理を行うコンピュータシステム |
| EP1883033B1 (en) * | 2006-07-21 | 2017-11-01 | BlackBerry Limited | Method and system for providing a honeypot mode for an electronic device |
| CN101170455B (zh) * | 2007-11-20 | 2010-12-29 | 中兴通讯股份有限公司 | 异常信息自动上报方法和装置 |
| US7953016B2 (en) * | 2008-03-03 | 2011-05-31 | Nortel Networks Limited | Method and system for telecommunication apparatus fast fault notification |
| JP5348489B2 (ja) * | 2009-07-31 | 2013-11-20 | オムロン株式会社 | コントローラ |
| US8886746B2 (en) * | 2009-09-09 | 2014-11-11 | Rockwell Automation Technologies, Inc. | Diagnostic module for distributed industrial network including industrial control devices |
| MX2013011129A (es) | 2011-03-28 | 2013-10-30 | Ibm | Sistema de deteccion de anomalias, metodo de deteccion de anomalias y programa para los mismos. |
-
2012
- 2012-01-26 MX MX2013011129A patent/MX2013011129A/es active IP Right Grant
- 2012-01-26 GB GB1318332.2A patent/GB2505340A/en not_active Withdrawn
- 2012-01-26 KR KR1020137019791A patent/KR20130124357A/ko not_active Application Discontinuation
- 2012-01-26 WO PCT/JP2012/051668 patent/WO2012132527A1/ja active Application Filing
- 2012-01-26 CN CN201280015056.3A patent/CN103443727B/zh active Active
- 2012-01-26 DE DE112012000772.7T patent/DE112012000772B4/de active Active
- 2012-01-26 US US13/988,485 patent/US9529690B2/en not_active Expired - Fee Related
- 2012-01-26 JP JP2013507220A patent/JP5480447B2/ja active Active
-
2014
- 2014-09-11 US US14/483,221 patent/US9921938B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| DE112012000772T5 (de) | 2013-11-07 |
| US20130245793A1 (en) | 2013-09-19 |
| CN103443727B (zh) | 2016-04-13 |
| WO2012132527A1 (ja) | 2012-10-04 |
| DE112012000772B4 (de) | 2014-11-20 |
| CN103443727A (zh) | 2013-12-11 |
| US9529690B2 (en) | 2016-12-27 |
| US9921938B2 (en) | 2018-03-20 |
| JPWO2012132527A1 (ja) | 2014-07-24 |
| KR20130124357A (ko) | 2013-11-13 |
| GB2505340A (en) | 2014-02-26 |
| US20150033076A1 (en) | 2015-01-29 |
| GB201318332D0 (en) | 2013-11-27 |
| JP5480447B2 (ja) | 2014-04-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| MX2013011129A (es) | Sistema de deteccion de anomalias, metodo de deteccion de anomalias y programa para los mismos. | |
| US7720639B2 (en) | Automatic remote monitoring and diagnostics system and communication method for communicating between a programmable logic controller and a central unit | |
| US10547634B2 (en) | Non-intrusive digital agent for behavioral monitoring of cybersecurity-related events in an industrial control system | |
| US20150301515A1 (en) | Method, Device and Computer Program for Monitoring an Industrial Control System | |
| JP2004232629A (ja) | 監視システムデータをリアルタイムで表示するシステム及び方法 | |
| JP2005135422A (ja) | 事象評価及び事象軽減計画決定プロセスを自動化した分散発電プラント | |
| US20200244677A1 (en) | Scalable hierarchical abnormality localization in cyber-physical systems | |
| US20210224383A1 (en) | Abnormality detection device | |
| WO2021172723A1 (ko) | 원전의 지능형 상태감시 방법 및 시스템 | |
| CN117477774A (zh) | 用于多功能配电柜的智能预警系统及预警方法 | |
| CN117474357A (zh) | 基于深度学习的配电房运维管理方法及系统 | |
| WO2018193571A1 (ja) | 機器管理システム、モデル学習方法およびモデル学習プログラム | |
| CN112799356A (zh) | 用于安全的数据记录的装置和方法 | |
| JP2005182647A (ja) | 機器の異常検知装置 | |
| US20210382988A1 (en) | Robust monitoring of computer systems and/or control systems | |
| US11595409B2 (en) | Method for monitoring an industrial network | |
| CN111146863A (zh) | 一种变电站的电力安全检测方法 | |
| KR102388973B1 (ko) | 내진 시설을 구비한 주배선반 시스템 | |
| Black et al. | Operational Technology Behavioral Analytics (OTBA)(Final Technical Report DE-FE0031640) | |
| Black et al. | OPERATIONAL TECHNOLOGY BEHAVIORAL ANALYTICS (OTBA)–A DATA-CENTRIC APPROACH FOR REDUCING CYBERSECURITY RISK | |
| CN117527001A (zh) | 配电通信网络侦测方法、装置、设备、存储介质和产品 | |
| CN117833464A (zh) | 一种用电信息采集终端在线运行状态安全监测方法 | |
| Muniandi et al. | Real-Time Predictive Maintenance of Power Electronics Systems using Machine Learning and IoT Integration. | |
| CN115801560A (zh) | 基于自动分析的调度层报文异常定位方法、装置及系统 | |
| KR20240064979A (ko) | 네트워크 장비 장애 감지기의 성능 향상을 위한 인공지능 기반의 후처리 방법 및 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| FG | Grant or registration |